Alerts - Get Subscription Level

Referencia

Servicio:: Defender for Cloud

Versión de la API:: 2022-01-01

Obtener una alerta asociada a una suscripción

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/locations/{ascLocation}/alerts/{alertName}?api-version=2022-01-01

Parámetros de identificador URI

Nombre	En	Requerido	Tipo	Description
alertName	path	True	string	Nombre del objeto de alerta
ascLocation	path	True	string	Ubicación donde ASC almacena los datos de la suscripción. se puede recuperar desde Get locations
subscriptionId	path	True	string	Identificador de suscripción de Azure Patrón de Regex: `^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$`
api-version	query	True	string	Versión de API para la operación

Respuestas

Nombre	Tipo	Description
200 OK	Alert	De acuerdo
Other Status Codes	CloudError	Respuesta de error que describe por qué se produjo un error en la operación.

Seguridad

azure_auth

Flujo de OAuth2 de Azure Active Directory

Tipo: oauth2
Flujo: implicit
Dirección URL de autorización: https://login.microsoftonline.com/common/oauth2/authorize

Ámbitos

Nombre	Description
user_impersonation	suplantar la cuenta de usuario

Ejemplos

Get security alert on a subscription from a security data location

Solicitud de ejemplo

GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA?api-version=2022-01-01


/**
 * Samples for Alerts GetSubscriptionLevel.
 */
public final class Main {
    /*
     * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/
     * GetAlertSubscriptionLocation_example.json
     */
    /**
     * Sample code: Get security alert on a subscription from a security data location.
     * 
     * @param manager Entry point to SecurityManager.
     */
    public static void getSecurityAlertOnASubscriptionFromASecurityDataLocation(
        com.azure.resourcemanager.security.SecurityManager manager) {
        manager.alerts().getSubscriptionLevelWithResponse("westeurope",
            "2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA", com.azure.core.util.Context.NONE);
    }
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

package armsecurity_test

import (
	"context"
	"log"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/resourcemanager/security/armsecurity"
)

// Generated from example definition: https://github.com/Azure/azure-rest-api-specs/blob/9ac34f238dd6b9071f486b57e9f9f1a0c43ec6f6/specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertSubscriptionLocation_example.json
func ExampleAlertsClient_GetSubscriptionLevel() {
	cred, err := azidentity.NewDefaultAzureCredential(nil)
	if err != nil {
		log.Fatalf("failed to obtain a credential: %v", err)
	}
	ctx := context.Background()
	clientFactory, err := armsecurity.NewClientFactory("<subscription-id>", cred, nil)
	if err != nil {
		log.Fatalf("failed to create client: %v", err)
	}
	res, err := clientFactory.NewAlertsClient().GetSubscriptionLevel(ctx, "westeurope", "2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA", nil)
	if err != nil {
		log.Fatalf("failed to finish the request: %v", err)
	}
	// You could use response here. We use blank identifier for just demo purposes.
	_ = res
	// If the HTTP response code is 200 as defined in example definition, your response structure would look as follows. Please pay attention that all the values in the output are fake values for just demo purposes.
	// res.Alert = armsecurity.Alert{
	// 	Name: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
	// 	Type: to.Ptr("Microsoft.Security/Locations/alerts"),
	// 	ID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA"),
	// 	Properties: &armsecurity.AlertProperties{
	// 		Description: to.Ptr("This is a test alert generated by Azure Security Center. No further action is needed."),
	// 		AlertDisplayName: to.Ptr("Azure Security Center test alert (not a threat)"),
	// 		AlertType: to.Ptr("VM_EICAR"),
	// 		AlertURI: to.Ptr("https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope"),
	// 		CompromisedEntity: to.Ptr("vm1"),
	// 		CorrelationKey: to.Ptr("kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk="),
	// 		EndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
	// 		Entities: []*armsecurity.AlertEntity{
	// 			{
	// 				AdditionalProperties: map[string]any{
	// 					"address": "192.0.2.1",
	// 					"location": map[string]any{
	// 						"asn": float64(6584),
	// 						"city": "sonning",
	// 						"countryCode": "gb",
	// 						"latitude": float64(51.468),
	// 						"longitude": float64(-0.909),
	// 						"state": "wokingham",
	// 					},
	// 				},
	// 				Type: to.Ptr("ip"),
	// 		}},
	// 		ExtendedLinks: []map[string]*string{
	// 			map[string]*string{
	// 				"Category": to.Ptr("threat_reports"),
	// 				"Href": to.Ptr("https://contoso.com/reports/DisplayReport"),
	// 				"Label": to.Ptr("Report: RDP Brute Forcing"),
	// 				"Type": to.Ptr("webLink"),
	// 		}},
	// 		ExtendedProperties: map[string]*string{
	// 			"Property1": to.Ptr("Property1 information"),
	// 		},
	// 		Intent: to.Ptr(armsecurity.IntentExecution),
	// 		IsIncident: to.Ptr(true),
	// 		ProcessingEndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.920Z"); return t}()),
	// 		ProductComponentName: to.Ptr("testName"),
	// 		ProductName: to.Ptr("Azure Security Center"),
	// 		RemediationSteps: []*string{
	// 			to.Ptr("No further action is needed.")},
	// 			ResourceIdentifiers: []armsecurity.ResourceIdentifierClassification{
	// 				&armsecurity.AzureResourceIdentifier{
	// 					Type: to.Ptr(armsecurity.ResourceIdentifierTypeAzureResource),
	// 					AzureResourceID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1"),
	// 				},
	// 				&armsecurity.LogAnalyticsIdentifier{
	// 					Type: to.Ptr(armsecurity.ResourceIdentifierTypeLogAnalytics),
	// 					AgentID: to.Ptr("75724a01-f021-4aa8-9ec2-329792373e6e"),
	// 					WorkspaceID: to.Ptr("f419f624-acad-4d89-b86d-f62fa387f019"),
	// 					WorkspaceResourceGroup: to.Ptr("myRg1"),
	// 					WorkspaceSubscriptionID: to.Ptr("20ff7fc3-e762-44dd-bd96-b71116dcdc23"),
	// 			}},
	// 			Severity: to.Ptr(armsecurity.AlertSeverityHigh),
	// 			StartTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
	// 			Status: to.Ptr(armsecurity.AlertStatusActive),
	// 			SubTechniques: []*string{
	// 				to.Ptr("T1059.001"),
	// 				to.Ptr("T1059.006"),
	// 				to.Ptr("T1053.002")},
	// 				SupportingEvidence: &armsecurity.AlertPropertiesSupportingEvidence{
	// 					AdditionalProperties: map[string]any{
	// 						"columns": []any{
	// 							"Date",
	// 							"Activity",
	// 							"User",
	// 							"TestedText",
	// 							"TestedValue",
	// 						},
	// 						"rows": []any{
	// 							[]any{
	// 								"2022-01-17T07:03:52.034Z",
	// 								"Log on",
	// 								"testUser",
	// 								"false",
	// 								false,
	// 							},
	// 							[]any{
	// 								"2022-01-17T07:03:52.034Z",
	// 								"Log on",
	// 								"testUser2",
	// 								"false",
	// 								false,
	// 							},
	// 							[]any{
	// 								"2022-01-17T07:03:52.034Z",
	// 								"Log on",
	// 								"testUser3",
	// 								"true",
	// 								true,
	// 							},
	// 						},
	// 						"title": "Investigate activity test",
	// 					},
	// 					Type: to.Ptr("tabularEvidences"),
	// 				},
	// 				SystemAlertID: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
	// 				Techniques: []*string{
	// 					to.Ptr("T1059"),
	// 					to.Ptr("T1053"),
	// 					to.Ptr("T1072")},
	// 					TimeGeneratedUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.000Z"); return t}()),
	// 					VendorName: to.Ptr("Microsoft"),
	// 					Version: to.Ptr("2022-01-01"),
	// 				},
	// 			}
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

const { SecurityCenter } = require("@azure/arm-security");
const { DefaultAzureCredential } = require("@azure/identity");

/**
 * This sample demonstrates how to Get an alert that is associated with a subscription
 *
 * @summary Get an alert that is associated with a subscription
 * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertSubscriptionLocation_example.json
 */
async function getSecurityAlertOnASubscriptionFromASecurityDataLocation() {
  const subscriptionId =
    process.env["SECURITY_SUBSCRIPTION_ID"] || "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
  const ascLocation = "westeurope";
  const alertName = "2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA";
  const credential = new DefaultAzureCredential();
  const client = new SecurityCenter(credential, subscriptionId);
  const result = await client.alerts.getSubscriptionLevel(ascLocation, alertName);
  console.log(result);
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

using System;
using System.Threading.Tasks;
using Azure;
using Azure.Core;
using Azure.Identity;
using Azure.ResourceManager;
using Azure.ResourceManager.SecurityCenter;
using Azure.ResourceManager.SecurityCenter.Models;

// Generated from example definition: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertSubscriptionLocation_example.json
// this example is just showing the usage of "Alerts_GetSubscriptionLevel" operation, for the dependent resources, they will have to be created separately.

// get your azure access token, for more details of how Azure SDK get your access token, please refer to https://learn.microsoft.com/en-us/dotnet/azure/sdk/authentication?tabs=command-line
TokenCredential cred = new DefaultAzureCredential();
// authenticate your client
ArmClient client = new ArmClient(cred);

// this example assumes you already have this SecurityCenterLocationResource created on azure
// for more information of creating SecurityCenterLocationResource, please refer to the document of SecurityCenterLocationResource
string subscriptionId = "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
AzureLocation ascLocation = new AzureLocation("westeurope");
ResourceIdentifier securityCenterLocationResourceId = SecurityCenterLocationResource.CreateResourceIdentifier(subscriptionId, ascLocation);
SecurityCenterLocationResource securityCenterLocation = client.GetSecurityCenterLocationResource(securityCenterLocationResourceId);

// get the collection of this SubscriptionSecurityAlertResource
SubscriptionSecurityAlertCollection collection = securityCenterLocation.GetSubscriptionSecurityAlerts();

// invoke the operation
string alertName = "2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA";
NullableResponse<SubscriptionSecurityAlertResource> response = await collection.GetIfExistsAsync(alertName);
SubscriptionSecurityAlertResource result = response.HasValue ? response.Value : null;

if (result == null)
{
    Console.WriteLine($"Succeeded with null as result");
}
else
{
    // the variable result is a resource, you could call other operations on this instance as well
    // but just for demo, we get its data from this resource instance
    SecurityAlertData resourceData = result.Data;
    // for demo we just print out the id
    Console.WriteLine($"Succeeded on id: {resourceData.Id}");
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Respuesta de muestra

status code:: 200

{
  "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
  "name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
  "type": "Microsoft.Security/Locations/alerts",
  "properties": {
    "version": "2022-01-01",
    "alertType": "VM_EICAR",
    "systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
    "productComponentName": "testName",
    "alertDisplayName": "Azure Security Center test alert (not a threat)",
    "description": "This is a test alert generated by Azure Security Center. No further action is needed.",
    "severity": "High",
    "intent": "Execution",
    "startTimeUtc": "2020-02-22T00:00:00.0000000Z",
    "endTimeUtc": "2020-02-22T00:00:00.0000000Z",
    "resourceIdentifiers": [
      {
        "azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
        "type": "AzureResource"
      },
      {
        "workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
        "workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
        "workspaceResourceGroup": "myRg1",
        "agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
        "type": "LogAnalytics"
      }
    ],
    "remediationSteps": [
      "No further action is needed."
    ],
    "vendorName": "Microsoft",
    "status": "Active",
    "extendedLinks": [
      {
        "Category": "threat_reports",
        "Label": "Report: RDP Brute Forcing",
        "Href": "https://contoso.com/reports/DisplayReport",
        "Type": "webLink"
      }
    ],
    "alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
    "timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
    "productName": "Azure Security Center",
    "processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
    "entities": [
      {
        "address": "192.0.2.1",
        "location": {
          "countryCode": "gb",
          "state": "wokingham",
          "city": "sonning",
          "longitude": -0.909,
          "latitude": 51.468,
          "asn": 6584
        },
        "type": "ip"
      }
    ],
    "isIncident": true,
    "correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
    "extendedProperties": {
      "Property1": "Property1 information"
    },
    "compromisedEntity": "vm1",
    "techniques": [
      "T1059",
      "T1053",
      "T1072"
    ],
    "subTechniques": [
      "T1059.001",
      "T1059.006",
      "T1053.002"
    ],
    "supportingEvidence": {
      "type": "tabularEvidences",
      "title": "Investigate activity test",
      "columns": [
        "Date",
        "Activity",
        "User",
        "TestedText",
        "TestedValue"
      ],
      "rows": [
        [
          "2022-01-17T07:03:52.034Z",
          "Log on",
          "testUser",
          "false",
          false
        ],
        [
          "2022-01-17T07:03:52.034Z",
          "Log on",
          "testUser2",
          "false",
          false
        ],
        [
          "2022-01-17T07:03:52.034Z",
          "Log on",
          "testUser3",
          "true",
          true
        ]
      ]
    }
  }
}

Definiciones

Nombre	Description
Alert	Alerta de seguridad
AlertEntity	Cambio del conjunto de propiedades en función del tipo de entidad.
alertSeverity	Nivel de riesgo de la amenaza detectada. Más información: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
alertStatus	Estado del ciclo de vida de la alerta.
AzureResourceIdentifier	Identificador de recursos de Azure.
CloudError	Respuesta de error común para todas las API de Azure Resource Manager para devolver los detalles de error de las operaciones con errores. (Esto también sigue el formato de respuesta de error de OData).
CloudErrorBody	Detalle del error.
ErrorAdditionalInfo	Información adicional sobre el error de administración de recursos.
intent	La intención relacionada con la cadena de eliminación detrás de la alerta. Para obtener una lista de los valores admitidos y explicaciones de las intenciones de cadena de eliminación admitidas de Azure Security Center.
LogAnalyticsIdentifier	Representa un identificador de ámbito del área de trabajo de Log Analytics.
SupportingEvidence	Cambio del conjunto de propiedades en función del tipo de compatibilidadEvidencia.

Alert

Alerta de seguridad

Nombre	Tipo	Description
id	string	Identificador de recurso
name	string	Nombre del recurso
properties.alertDisplayName	string	Nombre para mostrar de la alerta.
properties.alertType	string	Identificador único de la lógica de detección (todas las instancias de alerta de la misma lógica de detección tendrán el mismo alertType).
properties.alertUri	string	Vínculo directo a la página de alertas en Azure Portal.
properties.compromisedEntity	string	Nombre para mostrar del recurso más relacionado con esta alerta.
properties.correlationKey	string	Clave para las alertas relacionadas con la creación de núcleos. Alertas con la misma clave de correlación que se considera relacionada.
properties.description	string	Descripción de la actividad sospechosa detectada.
properties.endTimeUtc	string	Hora UTC del último evento o actividad incluido en la alerta en formato ISO8601.
properties.entities	AlertEntity[]	Lista de entidades relacionadas con la alerta.
properties.extendedLinks	object[]	Vínculos relacionados con la alerta
properties.extendedProperties	object	Propiedades personalizadas para la alerta.
properties.intent	intent	La intención relacionada con la cadena de eliminación detrás de la alerta. Para obtener una lista de los valores admitidos y explicaciones de las intenciones de cadena de eliminación admitidas de Azure Security Center.
properties.isIncident	boolean	Este campo determina si la alerta es un incidente (una agrupación compuesta de varias alertas) o una sola alerta.
properties.processingEndTimeUtc	string	Hora de finalización del procesamiento UTC de la alerta en formato ISO8601.
properties.productComponentName	string	Nombre del plan de tarifa de Azure Security Center que activa esta alerta. Más información: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing
properties.productName	string	Nombre del producto que publicó esta alerta (Microsoft Sentinel, Microsoft Defender for Identity, Microsoft Defender para punto de conexión, Microsoft Defender para punto de conexión, Microsoft Defender para Office, Microsoft Defender para aplicaciones en la nube, etc.).
properties.remediationSteps	string[]	Elementos de acción manuales que se van a realizar para corregir la alerta.
properties.resourceIdentifiers	ResourceIdentifier[]: AzureResourceIdentifier[] LogAnalyticsIdentifier[]	Identificadores de recursos que se pueden usar para dirigir la alerta al grupo de exposición de productos adecuado (inquilino, área de trabajo, suscripción, etc.). Puede haber varios identificadores de tipo diferente por alerta.
properties.severity	alertSeverity	Nivel de riesgo de la amenaza detectada. Más información: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
properties.startTimeUtc	string	Hora UTC del primer evento o actividad incluido en la alerta en formato ISO8601.
properties.status	alertStatus	Estado del ciclo de vida de la alerta.
properties.subTechniques	string[]	Elimina las sub técnicas relacionadas con la cadena detrás de la alerta.
properties.supportingEvidence	SupportingEvidence	Cambio del conjunto de propiedades en función del tipo de compatibilidadEvidencia.
properties.systemAlertId	string	Identificador único de la alerta.
properties.techniques	string[]	técnicas relacionadas con la cadena de eliminación detrás de la alerta.
properties.timeGeneratedUtc	string	Hora UTC a la que se generó la alerta en formato ISO8601.
properties.vendorName	string	Nombre del proveedor que genera la alerta.
properties.version	string	Versión del esquema.
type	string	Tipo de recurso

AlertEntity

Cambio del conjunto de propiedades en función del tipo de entidad.

Nombre	Tipo	Description
type	string	Tipo de entidad

alertSeverity

Nivel de riesgo de la amenaza detectada. Más información: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.

Nombre	Tipo	Description
High	string	Alto
Informational	string	Informativo
Low	string	Bajo
Medium	string	Medio

alertStatus

Estado del ciclo de vida de la alerta.

Nombre	Tipo	Description
Active	string	A una alerta que no especifica un valor se le asigna el estado "Activo".
Dismissed	string	Alerta descartada como falso positivo
InProgress	string	Una alerta que está en estado de control
Resolved	string	Alerta cerrada después del control

AzureResourceIdentifier

Identificador de recursos de Azure.

Nombre	Tipo	Description
azureResourceId	string	Identificador de recursos de ARM para el recurso en la nube en el que se está alertando
type	string: AzureResource	Puede haber varios identificadores de tipo diferente por alerta; este campo especifica el tipo de identificador.

CloudError

Respuesta de error común para todas las API de Azure Resource Manager para devolver los detalles de error de las operaciones con errores. (Esto también sigue el formato de respuesta de error de OData).

Nombre	Tipo	Description
error.additionalInfo	ErrorAdditionalInfo[]	Información adicional del error.
error.code	string	Código de error.
error.details	CloudErrorBody[]	Detalles del error.
error.message	string	Mensaje de error.
error.target	string	Destino del error.

CloudErrorBody

Detalle del error.

Nombre	Tipo	Description
additionalInfo	ErrorAdditionalInfo[]	Información adicional del error.
code	string	Código de error.
details	CloudErrorBody[]	Detalles del error.
message	string	Mensaje de error.
target	string	Destino del error.

ErrorAdditionalInfo

Información adicional sobre el error de administración de recursos.

Nombre	Tipo	Description
info	object	Información adicional.
type	string	Tipo de información adicional.

intent

La intención relacionada con la cadena de eliminación detrás de la alerta. Para obtener una lista de los valores admitidos y explicaciones de las intenciones de cadena de eliminación admitidas de Azure Security Center.

Nombre	Tipo	Description
Collection	string	La colección consta de técnicas que se usan para identificar y recopilar información, como archivos confidenciales, de una red de destino antes de la filtración.
CommandAndControl	string	La táctica de comando y control representa cómo los adversarios se comunican con los sistemas bajo su control dentro de una red de destino.
CredentialAccess	string	El acceso a credenciales representa técnicas que dan lugar a acceso o control sobre las credenciales de sistema, dominio o servicio que se usan en un entorno empresarial.
DefenseEvasion	string	La evasión de defensa consiste en técnicas que un adversario puede usar para eludir la detección o evitar otras defensas.
Discovery	string	La detección consta de técnicas que permiten al adversario obtener conocimientos sobre el sistema y la red interna.
Execution	string	La táctica de ejecución representa técnicas que dan lugar a la ejecución de código controlado por adversarios en un sistema local o remoto.
Exfiltration	string	La filtración hace referencia a técnicas y atributos que dan como resultado o ayudan al adversario a quitar archivos e información de una red de destino.
Exploitation	string	La explotación es la fase en la que un atacante administra para obtener un punto de vista sobre el recurso atacado. Esta fase es relevante para hosts de proceso y recursos como cuentas de usuario, certificados, etc.
Impact	string	Los eventos de impacto tratan principalmente de reducir directamente la disponibilidad o integridad de un sistema, servicio o red; incluida la manipulación de datos para afectar a un proceso empresarial o operativo.
InitialAccess	string	InitialAccess es la fase en la que un atacante administra la base de datos del recurso atacado.
LateralMovement	string	El movimiento lateral consta de técnicas que permiten a un adversario acceder y controlar sistemas remotos en una red y podrían, pero no necesariamente, incluir la ejecución de herramientas en sistemas remotos.
Persistence	string	La persistencia es cualquier cambio de acceso, acción o configuración a un sistema que proporciona a un actor de amenazas una presencia persistente en ese sistema.
PreAttack	string	PreAttack podría ser un intento de acceder a un determinado recurso independientemente de una intención malintencionada o de un intento erróneo de obtener acceso a un sistema de destino para recopilar información antes de la explotación. Normalmente, este paso se detecta como un intento, que se origina desde fuera de la red, para examinar el sistema de destino y encontrar una manera de hacerlo. Puede leer más detalles sobre la fase PreAttack en matriz de&matriz de ck de MITRE pre-Att.
PrivilegeEscalation	string	La elevación de privilegios es el resultado de acciones que permiten a un adversario obtener un mayor nivel de permisos en un sistema o red.
Probing	string	El sondeo podría ser un intento de acceder a un determinado recurso independientemente de una intención malintencionada o de un intento erróneo de obtener acceso a un sistema de destino para recopilar información antes de la explotación.
Unknown	string	Desconocido

LogAnalyticsIdentifier

Representa un identificador de ámbito del área de trabajo de Log Analytics.

Nombre	Tipo	Description
agentId	string	(opcional) El identificador del agente de LogAnalytics notifica el evento en el que se basa esta alerta.
type	string: LogAnalytics	Puede haber varios identificadores de tipo diferente por alerta; este campo especifica el tipo de identificador.
workspaceId	string	Identificador del área de trabajo de LogAnalytics que almacena esta alerta.
workspaceResourceGroup	string	El grupo de recursos de Azure para el área de trabajo de LogAnalytics que almacena esta alerta.
workspaceSubscriptionId	string	Identificador de suscripción de Azure para el área de trabajo de LogAnalytics que almacena esta alerta.

SupportingEvidence

Cambio del conjunto de propiedades en función del tipo de compatibilidadEvidencia.

Nombre	Tipo	Description
type	string	Tipo de la videncia auxiliar

Compartir a través de

Alerts - Get Subscription Level

Parámetros de identificador URI

Respuestas

Seguridad

azure_auth

Ámbitos

Ejemplos

Get security alert on a subscription from a security data location

Solicitud de ejemplo

Respuesta de muestra

Definiciones

Alert

AlertEntity

alertSeverity

alertStatus

AzureResourceIdentifier

CloudError

CloudErrorBody

ErrorAdditionalInfo

intent

LogAnalyticsIdentifier

SupportingEvidence

Recursos adicionales